Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
iOS 10.3.3
Publicado el 19 de julio de 2017
Contactos
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: El procesamiento de un archivo de película creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando la comprobación de límites.
CVE-2017-7008: Yangkang (@dnpushme) de Qihoo 360 Qex Team
EventKitUI
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante remoto podía provocar el cierre inesperado de una app.
Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.
CVE-2017-7007: José Antonio Esteban (@Erratum_) de Sapsi Consultores
IOUSBFamily
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7009: Shrek_wzw de Qihoo 360 Nirvan Team
Kernel
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7022: Un investigador anónimo
CVE-2017-7024: Un investigador anónimo
CVE-2017-7026: Un investigador anónimo
Kernel
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del kernel
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7023: Un investigador anónimo
CVE-2017-7025: Un investigador anónimo
CVE-2017-7027: Un investigador anónimo
CVE-2017-7069: Proteas de Qihoo 360 Nirvan Team
Kernel
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que una app pueda leer la memoria restringida
Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.
CVE-2017-7028: Un investigador anónimo
CVE-2017-7029: Un investigador anónimo
libarchive
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Abrir un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.
CVE-2017-7068: Detectado por OSS-Fuzz
libxml2
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.
Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.
CVE-2017-7010: Apple
CVE-2017-7013: Detectado por OSS-Fuzz
libxpc
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que una app pueda ejecutar código arbitrario con privilegios del sistema
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7047: Ian Beer de Google Project Zero
Mensajes
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante remoto podía provocar el cierre inesperado de una app.
Descripción: Se solucionó un problema de consumo de memoria mejorando el manejo de la memoria.
CVE-2017-7063: Shashank (@cyberboyIndia)
Notificaciones
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Las notificaciones podían aparecer en la pantalla de bloqueo aunque estuvieran desactivadas.
Descripción: Se solucionó un problema de bloqueo de pantalla mejorando la administración de estado.
CVE-2017-7058: Beyza Sevinç de Süleyman Demirel Üniversitesi
Entrada actualizada el 28 de julio de 2017
Safari
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la suplantación de la barra de direcciones.
Descripción: Se solucionó un problema de interfaz de usuario inconsistente mejorando la administración de estado.
CVE-2017-2517: xisigr de Tencent's Xuanwu Lab (tencent.com)
Impresiones en Safari
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía mostrar una cantidad infinita de cuadros de diálogo de impresión.
Descripción: Existía un problema en el que un sitio web malintencionado o vulnerado podía mostrar una cantidad infinita de cuadros de diálogo de impresión y hacer creer a los usuarios que el navegador estaba bloqueado. Este problema se solucionó restringiendo la cantidad de cuadros de diálogo de impresión.
CVE-2017-7060: Travis Kelley de la ciudad de Mishawaka, Indiana
Telefonía
Disponible para iPhone 5 y posteriores, y modelos Wi-Fi + Cellular de iPad (cuarta generación y posteriores)
Impacto: Un atacante con una posición de red privilegiada podía ejecutar código arbitrario.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-8248
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un sitio web malintencionado podía exfiltrar datos mediante un origen cruzado.
Descripción: El procesamiento de contenido web creado con fines malintencionados podía ocasionar que los datos de orígenes cruzados se exfiltraran usando filtros SVG para ejecutar un ataque de canal lateral de temporización. Para solucionar este problema, no se pintó el búfer de orígenes cruzados en el marco en el que se filtra.
CVE-2017-7006: Un investigador anónimo, David Kohlbrenner de la Universidad de California en San Diego
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la suplantación de la barra de direcciones.
Descripción: Se solucionó un problema de administración de estado mejorando el manejo de marcos.
CVE-2017-7011: xisigr de Tencent's Xuanwu Lab (tencent.com)
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7018: lokihardt de Google Project Zero
CVE-2017-7020: likemeng de Baidu Security Lab
CVE-2017-7030: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin de Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt de Google Project Zero
CVE-2017-7039: Ivan Fratric de Google Project Zero
CVE-2017-7040: Ivan Fratric de Google Project Zero
CVE-2017-7041: Ivan Fratric de Google Project Zero
CVE-2017-7042: Ivan Fratric de Google Project Zero
CVE-2017-7043: Ivan Fratric de Google Project Zero
CVE-2017-7046: Ivan Fratric de Google Project Zero
CVE-2017-7048: Ivan Fratric de Google Project Zero
CVE-2017-7052: cc en colaboración con la iniciativa Zero Day de Trend Micro
CVE-2017-7055: National Cyber Security Centre (NCSC) del Reino Unido
CVE-2017-7056: lokihardt de Google Project Zero
CVE-2017-7061: lokihardt de Google Project Zero
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados con DOMParser podía ocasionar un ataque de scripts de sitios.
Descripción: Existía un problema de lógica en el manejo de DOMParser. El problema se solucionó mejorando la administración de estado.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) de Digital Security junto a Egor Saltykov (@ansjdnakjdnajkd) de Digital Security, y Neil Jenkins de FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa y Mario Heiderich de Cure53
Entrada actualizada el 28 de julio de 2017
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.
CVE-2017-7049: Ivan Fratric de Google Project Zero
WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Una app podía leer la memoria restringida.
Descripción: Un problema de inicialización de la memoria se solucionó mejorando el manejo de la memoria.
CVE-2017-7064: lokihardt de Google Project Zero
Carga de la página WebKit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7019: Zhiyang Zeng de Tencent Security Platform Department
Inspector web Webkit
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7012: Apple
Wi-Fi
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-7065: Gal Beniamini de Google Project Zero
Entrada agregada el 25 de septiembre de 2017
Wi-Fi
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante en el alcance de una red Wi-Fi podía provocar una denegación de servicio en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.
CVE-2017-7066: Gal Beniamini de Google Project Zero
Entrada agregada el 26 de septiembre de 2017
Wi-Fi
Disponible para iPhone 5 y posteriores, iPad (cuarta generación y posteriores) y iPod touch (sexta generación)
Impacto: Un atacante dentro del alcance podía ejecutar código arbitrario en el chip de Wi-Fi.
Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.
CVE-2017-9417: Nitay Artenstein de Exodus Intelligence